I servizi di sharing che propongono ai cittadini di sfrecciare per le vie urbane utilizzando monopattini elettrici sono già una realtà in alcuni Paesi e si apprestano a sbarcare anche in Italia (sempre che la legge lo consenta), eppure una novità di questi giorni rischia di gettare una cattiva luce sull'intera categoria di prodotti. I ricercatori specializzati in sicurezza di Zimperium hanno dimostrato in un video di essere riusciti a penetrare a distanza nel sistema di controllo di un modello di monopattino molto diffuso, e a modificarne il comportamento facendolo frenare e accelerare a piacere nonostante i controlli manuali del pilota.

Il modello protagonista della clip è lo Xiaomi M365, che tra le varie caratteristiche vanta un sistema di sblocco via bluetooth pensato per permettere al proprietario di avviare il motore elettrico dallo smartphone. È proprio il sistema di comunicazione tra monopattino e telefono a essersi rivelato fallace: i ricercatori hanno sviluppato un'app per smartphone che intercetta le comunicazioni bluetooth dei monopattini circostanti, vi si inserisce e riesce a inviare loro comandi che possono arrestare il dispositivo e perfino riscriverne il codice informatico che li governa. Attivando una funzione antifurto inserita nei monopattini, l'app sviluppata dai ricercatori può ad esempio bloccare il motore dei dispositivi intercettati in un raggio di 100 metri lasciandoli spenti in mezzo al traffico; in un attacco più specifico diventa possibile anche effettuare modifiche più radicali al comportamento del dispositivo, che può arrivare anche ad accelerare improvvisamente secondo la volontà di chi porta l'attacco.

Lo scenario, già inquietante, si aggrava se si pensa ai monopattini in questione come a dispositivi per la mobilità condivisa, ovvero a oggetti che quando non sono in uso restano parcheggiati senza sorveglianza e con il modulo bluetooth attivo, in attesa di un nuovo passeggero. Chiunque, con le dovute conoscenze, ha tutto il tempo di manometterne uno senza destare troppi sospetti. Fortunatamente gli operatori del settore dello sharing per le loro flotte utilizzano in genere sistemi di autenticazione bluetooth proprietari, disattivando le funzioni interne ai dispositivi forniti dai produttori; il problema però non va preso alla leggera: Xiaomi — riferisce Zimperium — sta ancora cercando di risolverlo.